Bir proxy sunucusunda HTTPS isteklerini önbelleğe almanın herhangi bir yolu var mı?

12

Squid proxy sunucusunu ortamımızda kullanıyoruz ve HTTPS isteklerini önbelleğe almak istiyoruz.

HTTPS isteklerini önbelleğe almak için Squid'i veya genel olarak bir proxy sunucusunu yapılandırmanın herhangi bir yolu var mı?

proxy  squid  https 
Supratik
kaynak
Bu muhtemelen güvenliğe aittir. Se
Tom O'Connor
1
Açık olmak gerekirse, kendi sunucularınızın bir demet önünde kalamar mı kullanıyorsunuz, yoksa iş istasyonlarınız ve İnternet arasında mı kullanıyorsunuz?
Zoredache
Sadece netleştirmek için. İstekleri veya yanıtları önbelleğe almak istiyor musunuz?
Gqqnbig

Yanıtlar:

12

Bunu yapmanın bir yolu var, ancak temelde HTTPS kullanma nedenlerine aykırı.

İşte böyle yapardın.

  1. Durdurmak ve isteklerini önbelleğe almak istediğiniz site için kendinden imzalı bir SSL Sertifikası oluşturun.
  2. Proxy sunucunuza stunnel kurun ve çalıştırın, sunması gereken sertifikanın 1. aşamada oluşturulan sertifikadır.
  3. Şifresi çözülmüş istekleri kalamarlara iletin.
  4. Diğer tarafta stunnel olması veya isteği yukarı akış sunucusuna yeniden şifrelemek için openssl_client olması gerekebilir.

Uyarılar:

  1. Kullanıcılarınız sizden nefret edecek. Bu siteye yapılan her SSL isteği geçersiz bir sertifika penceresi sunacaktır.
  2. Kendinizi yaramaz şeyler yapmak için potansiyel davalara maruz bırakıyorsunuz. (IANAL)
  3. SSL Sertifikaları için güvenilen PKI ağının nasıl çalışması gerektiğinden, bunun için yalnızca kendinden imzalı bir sertifika alabileceksiniz. Güvenliği aşılan kök CA'lar hakkında hiçbir şey söylememek.

Size bunu nasıl yapacağınıza dair kesin ayrıntıları vermeyeceğim, çünkü a) Bence biraz etik dışı ve b) Bunu nasıl yapacağınızı öğrenmeniz daha iyi.

Sersemletici ve ortadaki adam saldırılarının nasıl çalıştığını araştırmanızı öneririm.

Tom O'Connor
kaynak
Trustwave zdnet.com/… ' dan size bir kök sertifika satmasını isteyebilirsiniz, böylece bu çözümü kullanıcılarınızı rahatsız etmeden uygulayabilirsiniz : P
Rory
2
Aslında, bir etki alanındaysanız, kendi CA'nızı oluşturmak ve bunun için genel sertifikaları Grup İlkesi ile dağıtmak çok daha kolaydır.
Tom O'Connor
1
Bir SSC + MITM'ye güvenmek, protokol hata ayıklama, önbellekleme, derin paket denetimi ve sansür / günlüğe kaydetme için yararlıdır. : / Bu sebeplerden başka, çok iyi değil.
6

Bunun neden MITM olmadan yapılamadığını açıklamak için - proxy yalnızca şifrelenmiş HTTPS kullanırken bağlanmak istediğiniz sunucunun DNS adını görür. URL'yi veya yanıt başlıklarını görmez. Bir sitede hangi bağımsız kaynağa eriştiğinizi, önbelleğe alınabilir olup olmadığını veya değişiklik sürelerinin ne olduğunu belirleyemez. Tüm görebileceği biri HTTPS kullanarak uzak bir sunucudan bir şey istiyor.

Bu, proxy'nin size hangi önbelleklenen nesneleri veya ilk etapta nasıl alacağınızı bilmediği için önbelleğin çalışamayacağı anlamına gelir.

robf
kaynak
5

Hayır, yok: şifreli ... Bir çözüm, ortadaki adam konuşlandırması gibi bir şey olurdu , ancak bu https'nin arkasındaki tüm nedenleri yenecekti .

yrk
kaynak
1
Bunu başarmak veya proxy sunucuyu şifresini çözmek ve önbelleğe almak için zorlamak için bir çözüm yok mu?
Supratik
Bir çözüm, man-in-middlekonuşlandırmayı yeniden canlandıracak , ancak bu https'nin arkasındaki tüm nedenleri
yenecekti
5
Https'nin arkasındaki tüm nedenleri yeneceğine katılmıyorum. Bunu evde yaparsanız ve proxy'ye sahipseniz, verileriniz yine de proxy'niz ve web siteleri arasında https kullanır.
brunoqc
@brunoqc bu bir VPN işi.
yıl
1
Https yüklerinin önbelleğe alınması bir nedenden dolayı önemliyse veya bir https oturumunda hata ayıklama yapıyorsa, MITM çok kullanışlıdır. Aslında, Charles böyle çalışır.
1

Zeus (Now Riverbed's) ZTM Trafik Yöneticisi bunu http ve https trafiğini her iki şekilde de çevirebildiği ve şifrelenmemiş içeriği önbelleğe alabildiği için yapabilir - çalışıyor, kullanıyoruz, ancak korkunç bir şekilde pahalı - sunucu başına bir Porsche fiyatında olduğu gibi.

Chopper3
kaynak
5
Ancak yine de istemciye yeni bir kök sertifika yüklemenizi gerektirir, değil mi? Ve hala proxy'ye güvenmelisin, değil mi?
phihag
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.